Voglio controllare il mio sistema di rilevamento delle intrusioni sulla rete (intrusione fisica come gadget o dispositivi non autorizzati in wifi / ethernet). Fino ad ora tutto è ok, ma mi stavo chiedendo se blocco tutte le query sul mio server con iptables il mio server sarà ancora in grado di rilevare l'intrusione. C'è un modo per testarlo o è semplicemente ridicolo?
Chiarimento:
Uso un server che esegue la scansione dell'intera rete (utilizzando ping e ascolto di pacchetti che utilizzano tcpdump) alla ricerca di qualsiasi nuovo dispositivo che si connette alla rete e genera un report. Quello che sto cercando di testare è se posso configurare un dispositivo per ignorare i probe del server, può ancora essere rilevato?
Ampia spiegazione:
In realtà, io passivo e attivo eseguiamo la scansione della rete. Passivo, ascolto di pacchetti bizzarri da dispositivi non autorizzati e indirizzo casuale ping attivo per trovare qualcuno che potrebbe essere solo in ascolto. Quindi, è abbastanza sicuro, giusto?